Actualités
StopCovid collecte les identifiants de toutes les personnes croisées
L’application relève bien plus de données qu’on ne le pensait.
Tout semblait pourtant très clair. Dans sa présentation de StopCovid, le gouvernement a indiqué que lorsque vous activez ce dispositif, les données qui sont transmises au serveur central concernent les personnes qui disposent de l’application et avec lesquelles vous vous êtes trouvés en contact à moins d’un mètre pendant au moins 15 minutes. Si vous vous déclarez comme porteur du covid-19, elles seront informées que quelqu’un leur a potentiellement transmis le virus.
Une collecte nécessaire selon le gouvernement
La réalité semble pourtant bien plus complexe. Selon Gaëtan Leurent, un chercheur en cryptographie à l’Institut national de recherche en informatique et en automatique, StopCovid collecte en réalité la totalité des identifiants des personnes croisées. Cela peut potentiellement faire beaucoup de monde car la portée du Bluetooth peut aller jusqu’à 20 mètres.
Contacté par Mediapart, le gouvernement ne nie pas cette information : « StopCovid repose sur la remontée de l’historique de proximité d’un utilisateur diagnostiqué positif : cet historique de proximité est constitué des contacts rencontrés par l’utilisateur positif. Le calcul de l’exposition au risque d’un des contacts de cet historique de proximité est effectué sur le serveur », précise le secrétariat d’Etat au numérique.
Cette version ne convainc pas les spécialistes du dossier à commencer par Gaëtan Laurent. Ce dernier regrette que ce calcul ne soit pas effectué directement par le téléphone. La crainte est en effet de voir un acteur malveillant récupérer l’ensemble de ces données et porter atteinte à la vie privée des utilisateurs.
Pour le gouvernement, au contraire, ce stockage est nécessité « par le fait que tous les quarts d’heure, un nouvel identifiant est attribué à chaque appareil. Ainsi, un contact qui ne durerait que 5 minutes pourrait être la suite d’un contact de douze minutes : deux contacts que seul le serveur est capable de relier pour comprendre qu’il s’agit en réalité d’un seul, de 17 minutes, donc à risques ».
La CNIL a précisé à nos confrères de Mediapart que des contrôles étaient actuellement en cours sur le sujet.
Pour rappel, le développement de StopCovid n’avait déjà pas été un long fleuve tranquille et il avait notamment été freiné par le fonctionnement d’iOS.